Apple は、最新の macOS Sequoia オペレーティング システム上の Safari が、ウェブサイトが IP アドレス 0.0.0.0 にアクセスするのを阻止することを確認しました。
ルーティング不可能なIPv4アドレスである0.0.0.0には多くの用途があり、最も一般的な用途の一つはプレースホルダーアドレスとしての利用です。AppleのSafariブラウザ、GoogleのChrome、MozillaのFirefoxは、リクエストを「localhost」にリダイレクトすることで0.0.0.0へのクエリを解決します。「localhost」はネットワークまたはコンピュータ上のサーバーであり、通常はプライベートであり、開発中のコードのテストによく使用されます。
場合によっては、これらのリクエストは「localhost」にリダイレクトされます。これは、アクセスに使用されている現在のコンピュータを指すホスト名です。「localhost」は多くの場合、プライベートネットワークまたはコードテストに使用されるコンピュータを指しますが、悪意のある人物はIPアドレス0.0.0.0を利用して企業サーバーの個人データにアクセスしています。
Oligoの研究者は、0.0.0.0を受け入れることで「基本的にすべてを許可することになる」と警告しています。ハッカーはこの抜け穴を18年間悪用し続けており、ブラウザベンダーはついに対策を講じることにしました。
macOS SequoiaのSafariは長年存在した0.0.0.0「localhost」の抜け穴を修正
AppleはForbesに対し、macOS Sequoiaではウェブサイトからの0.0.0.0へのアクセスをブロックすることを確認しました。GoogleもChromeブラウザの将来バージョンでこの抜け穴を塞ぐ予定です。一方、Mozillaはまだ解決策を開発していませんが、開発に取り組んでいます。
Mozillaの広報担当者は同誌に対し、0.0.0.0をブロックすると一部のサーバーが機能しなくなる可能性があるため、この非営利団体は潜在的な互換性問題を懸念していると述べた。「より厳しい制限を課すことは、互換性の問題を引き起こす大きなリスクを伴います。標準化に関する議論と、これらの互換性リスクを理解するための作業は現在も進行中であるため、Firefoxは提案された制限を一切実装していません。私たちはこのプロセスに引き続き関与していく予定です。」
macOS Sequoiaには、他にもセキュリティ強化が施されています。その一つは、署名のないMacソフトウェアをインストールするためにGatekeeperをバイパスすることが少し難しくなるというものです。これは、最近のマルウェアがユーザーにControlキーを押しながらクリックするショートカットを使って実行ファイルを開くように仕向けていることをAppleが認識したためです。
